Yemeksepeti hackerları konuştu: Milyonlarca kişinin verileri elimizde

Yemeksepeti hackerları konuştu: Milyonlarca kişinin verileri elimizde

 Son dönemde işçi ve sendika düşmanlığı ile gündeme gelen online yemek siparişi sitesi Yemeksepeti yeni bir siber saldırı iddiasıyla gündemde. İnternet korsanlarının şirkete tanıdığı süre ise 22 Kasım’da son bulacak.

 2001 yılında Nevzat Aydın tarafından kurulan ve 2015 yılında 589 milyon dolar karşılığında Almanya merkezli gıda dağıtım şirketi Delivery Hero'ya satılan Yemeksepeti yeni bir siber saldırı iddiasıyla gündemde. Son olarak 25 Mart 2021'de benzer veri ihlali iddiaları ile gündeme gelen şirket, o dönem iddiaları doğrulamıştı.

Sekiz ay önce gerçekleşen bu saldırı sonrası güvenlik önlemlerini en üst seviyeye çıkardığını belirten şirket, Kişisel Verileri Koruma Kurumu (KVKK) tarafından veri güvenliğine ilişkin yükümlülüklere aykırı faaliyetten 2 milyon TL, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından ise güvenlik sorumluluklarını yerine getirmemekten dolayı 1 milyon TL'lik ceza ile karşı karşıya.

NEVZAT AYDIN’IN ÖDEME YAPABİLECEĞİNİ DÜŞÜNMÜŞTÜK

Henüz bu inceleme sonuçlanmamışken yeni bir siber saldırı iddiasıyla gündeme gelen Yemeksepeti, bu yeni iddiaya yönelik, bilgisayar korsanlarının kendilerine ulaşıp fidye talebinde bulunduklarını, uzman ekipler tarafından yapılan inceleme sonucunda sistemlerinden veri sızıntısının olmadığının tespit edildiği açıklamasını yaptı.

Ancak bazı gazetecilerin ve yüksek takipçili hesapların isim, soy isim, telefon, açık adres ve adres tarifi bilgilerini paylaşan bilgisayar korsanları, DW Türkçe'den Kazım Kızıl’ın sorularına yazılı yanıt verdi. Bilgisayar korsanları Yemeksepeti'ne yeni bir siber saldırı yaptıklarını ve ellerinde yeni veriler olduğu iddiasını savunuyor.

Elektronik posta yolu ile soruları yanıtlayan ekip Rusya merkezli bir oluşum olduklarını, güvenlik nedeniyle grubun ismi ve kaç kişiden oluştuğuna dair bilgileri paylaşmayacaklarını belirtti. Birçok farklı ülkeden üyeleri bulunduğunu aktaran bilgisayar korsanları, Twitter'da yayılan Türk veya Çinli oldukları yönündeki iddiaları ise kesin bir şekilde reddetti.

Kişisel verileri ele geçirdiğini iddia eden grup ilk olarak 1 Kasım'da görevinden ayrılan eski Yemeksepeti CEO'su Nevzat Aydın'a elektronik posta ile ulaşarak taleplerini sıraladığını iddia ediyor. Yemeksepeti'ni seçmelerinin özel bir nedeni olmadığını aktaran grup, sadece şirketin o günkü CEO'su olan Nevzat Aydın'ın bu ihlal için bir ödeme yapabileceğini düşündüklerini ancak Aydın'ın ödeme yapmamasının kendilerini şaşırttığını ifade etti:

"Maili attığımız tarihte şirketin CEO'su Nevzat Aydın'dı. Görüşmemizden sonra istifa etti. Yeni CEO Mert Baki'ye de taleplerimizi ilettik ancak ciddiye almadı. Belki de Delivery Hero (Yemeksepeti'nin bağlı olduğu üst kuruluş) onlara bu konuda baskı uyguladı, şimdilik bunu bilmiyoruz."

KORSANLARIN VERDİĞİ SÜRE DOLUYOR, POTANSİYEL ALICILARLA GÖRÜŞEBİLİRLER

 Bilgisayar korsanlarının aktardığı bilgilere göre hackleme işlemi yaklaşık bir ay önce gerçekleşti. Bu süre zarfında şirketten olumlu bir yanıt alamayınca iletişime geçtikleri bazı sosyal medya hesapları ile konuyu kamuoyuna duyurdular. Verdikleri bir haftalık süre içinde olumlu bir dönüş yapılmazsa Yemeksepeti çalışanlarının açık adreslerini ve telefon numaralarını yayınlayacakları tehdidinde bulunuyorlar. Hackerların şirkete tanıdıkları süre 22 Kasım’da doluyor.

Twitter'da bazı kullanıcılar hackerlerin bahsettikleri verilerin 2016 yılında Merkezi Nüfus İdaresi Sistemi'ne (MERNIS) yönelik siber saldırı sonucu elde edilen veriler olduğunu iddia ediyor. Ancak bilgisayar korsanları, yazılı yanıtlarında şu anda ellerinde bulunan verilerin MERNİS sızıntısıyla ilintili olmadığını savunuyor. Grubun bilgileri paylaşmama karşılığında istedikleri miktar ise 5 Bitcoin. Bugünkü değeriyle yaklaşık 3 milyon TL.

Bilgisayar korsanları ayrıca şirket bu taleplerini kabul etmediği takdirde bu miktarı veren potansiyel alıcılarla görüşeceklerini, bu da olmazsa en yüksek teklifi veren kişiye verileri satacaklarını iddia etti.

SORUMLULUK YEMEKSEPETİ’NDE

Peki, yasa dışı faaliyetlerle siber saldırıya uğrayan bir şirketi ne bekliyor ve sorumlulukları neler? Bilişim hukuku alanında doktora çalışması yapan avukat Resul Göksoy, kişisel verilerin güvenliğini koruma yükümlülüğünün 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. maddesinde düzenlendiğini belirtti. Göksoy verilerin işlenmesinin ve erişilmesinin önlenmesi ile güvenli bir şekilde muhafaza edilmesinin sorumluluğunun gerçek veya tüzel kişilerde, yani Yemeksepeti'nde olduğunu vurguladı.